马腾飞

(1.中国政法大学民商经济法学院,北京,100088; 2.公安部第一研究所,北京,100048)

1 引言

大数据时代下,深度学习算法与云计算技术日渐成熟,人类生产方式、生活方式与管理方式发生深刻变革,数据已成为人类的新生产资料,算法则成为人类新的生产工具。算法依托其“颠覆性潜力”,成为大数据时代的底层逻辑,算法对人类社会产生普遍且广泛的影响已是不争的事实。

当前,算法正日益广泛地被应用于内容信息、电子商务、无人驾驶、司法判决、智能诊疗等关键行业与重要领域,成为经济社会的底层架构和推动社会数字化转型、国家治理能力现代化的重要力量。在这一“算法泛在”进程中,算法与社会各层面深度关联,使得不当使用算法所产生的算法操纵、算法控制、算法歧视、算法黑箱、算法沉迷等问题日益威胁着个人权利、公共利益乃至国家安全。算法影响的利弊两面性以及算法侵害的不断出现,使得围绕算法风险的重新审视、治理体系的提升建设引发关注,算法治理问题已成为法学、管理学、信息科学、经济学等学科的研究热点,相关研究关切算法治理的核心议题,探讨如算法黑箱[1]、算法安全[2]、算法歧视[3]、算法操纵[4]等核心风险与关键问题,如DIKW(Data,Information,Knowledge,Wisdom)全球治理框架[5]、算法黑箱不同程度的透明化[6]等治理思路与模型也不断涌现。

算法风险冲击国家安全,特别是与之最为关联的国家数据主权安全。从全球范围看,算法治理已被纳入数据主权范畴,多国相继发布针对算法的法规政策,推动算法实现透明可释、公平公正、安全可控,保障国家数据主权安全。2019年,加拿大出台《自动化决策指令》(DirectiveonAutomatedDecision-making)[7]对政府部门使用算法决策进行规制,要求政府对采用的自动化决策系统进行算法影响评估,保证算法决策质量;2019年以来,欧盟加快颁布《算法问责与透明治理框架》(AGovernanceFrameworkforAlgorithmicAccountabilityandTransparency)[8]、《可信AI伦理指南》(EthicsGuidelinesforTrustworthyAI)[9]等系列政策,并成立算法透明度中心(European Centre for Algorithmic Transparency,ECAT),对不同场景下公共机构使用具体的算法技术提出监管规定,并以算法透明度等义务要求,保障欧洲公民基本权利;2022年美国发布《AI权利法案蓝图》(BlueprintforAIBillofRights)[10],明确提出行业主管部门牵头、应用场景导向的分散化算法监管思路;同年7月,英国也加快发布政策文件《建立促进创新的AI监管路径》(Establishingapro-innovationapproachtoregulatingAI)[11],提出将聚焦具体应用场景解决算法风险问题。我国以《数据安全法》《互联网信息服务算法推荐管理规定》《关于加强互联网信息服务算法综合治理的指导意见》等法律法规和规范性文件对算法提出治理要求[12-14],2022年4月,我国中央网信办牵头开展“清朗·2022年算法综合治理”专项行动,深入排查整改我国互联网企业平台算法安全问题,评估算法安全能力。

基于此,本文创新将算法治理置于国家数据主权的视角之下,全面思考算法治理的核心挑战所在,并在充分调研国际治理进展的基础上,探讨我国算法治理进路。本文力图回答在我国数据主权竞争新时代下算法治理所包含的关键问题:①数据主权视角下算法带来了何种冲击和挑战;②数据主权视角下国际算法治理的进展;③数据主权视角下我国算法治理要走何种路径、采取何种措施与着力点。

2 主权视角下的算法治理及其挑战

2.1 算法定义与治理必要性

从古代美索不达米亚的巴比伦数学,到公元前2700年我国《黄帝历》中对天体运动规律的理解,算法由来已久并早已深刻与人类社会生产、生活关联融合。大数据时代,海量数据与数字空间赋予算法更为广阔的社会应用空间,算法指明了机器所试图实现的现实目标,以及实现该现实目标的路径与方法[15],由此,现代算法突破数学物理单一领域限制,源于技术与科学,作用于社会。大数据时代的算法定义内含了技术性、社会性的双重面向:①技术性面向上,算法是对一个或一系列问题的解决方案的完整描述。算法具有逻辑推理性,并以代码和数据为基础,数据是算法运行的基础资源,而代码则是算法运行的基础原理,围绕算法的治理也始终与数据、代码的治理不可分割。②社会性面向上,算法是社会多元传递模式下的一种技术制度和文化实践[16],承担数智时代“生产力工具”角色,对微观数据资源挖掘利用、宏观社会生活运行都产生了根本性影响,直接关涉国家与社会安全。算法的社会性属性提供了数据主权视角下探讨算法治理的正当性基础。

大数据时代,互联网络、数据环境与新兴平台组织提供了算法发展的物质条件与绝对机遇,也为算法影响的广度、深度、覆盖范畴的提升提供了可能。算法影响了从个体决策、行动到国家宪法等人类社会生活的各个领域,在带来经济与社会发展红利的同时也带来了算法侵害与风险,对其展开治理有着紧迫性和必然性。一方面,算法治理是引导数字经济与信息社会健康发展的现实需要。相较于其他特定高精尖领域的颠覆性技术,算法已然成为网络空间与人类社会的底层逻辑与生产工具,算法影响由此具有广泛的溢出效应,算法风险直接影响到公民利益和福祉、经济发展的可持续性、社会发展的平等性、政治发展的公平性,在国家政治、经济、文化等各个方面引发严峻的治理挑战。另一方面,算法治理是维护国家安全与强化数据主权保障能力必经之途。网络空间成为国家间博弈的第五疆域,各国围绕数据主权的博弈与安全治理趋向白热化,各国在对数据资源、关键基础设施等资源要素展开激烈争夺的同时,算法正以更为隐蔽多变的方式威胁国家安全,尤其当算法与平台、跨国公司关联,带来的国家安全与数据主权冲击不言而喻。推进算法治理已经成为国际社会广泛关注的重要议题和普遍做法,从“数据治理”到“算法治理”是网络空间领域治理的一个深化升级[17],也是维护国家网络空间安全、强化数据主权保障能力的必经之路。

2.2 主权视角下算法治理定义

“算法治理”概念有双重含义,一是用算法进行治理,二是对算法进行治理。算法发挥其效用依赖各应用主体与数据资源,因此具有“人-数据-算法”的系统特征,对算法的治理不仅是针对技术的治理,更多的是面向算法主体、算法社会问题的治理。基于此,借鉴已有研究,本文语境下的算法治理,是在给定算法不具有自由意志且不具有自主自为性的前提下,以算法技术为治理对象,由相应的治理主体开展对算法参与决策过程以及算法技术外部性的治理,侧重对算法所引发社会、经济等领域风险与问题的治理行动,目的是促进算法技术产生持续的正外部性[18]。

围绕算法治理,目前学界、实践界形成较为明确的“过程-结果”的不同治理思路分野。算法是动态的,算法的诞生、应用、实施与产出是动态的过程,复合上差异化的应用目的、应用场景与应用对象,同一算法也会产生截然不同的结果和影响;且产生的影响和结果在不同时空因素下继续演变,算法的结果(及其影响)也由此成为动态的过程。因此,对算法这一动态对象的治理形成了侧重全流程监管的过程治理与侧重产出管理的结果治理分野:①过程治理,就是沿着算法产生与应用逻辑、流程展开治理,强调算法自身的发展逻辑与技术规律,提供了技术生命周期全流程的治理与监管路径。但随着算法自身复杂性显著增强,对算法代码进行实时动态治理需要具备与当前算法发展相当或超越的技术治理能力,同时算法影响不断扩大并与社会环境深度交织,针对算法流程的监管难以应对外部社会影响,进而让算法的过程治理既在技术上不可行,也在管理上代价高昂且标的不明。②结果治理,则是专门针对算法的产出进行治理,通过在法律上约定算法可追责性,在规则上约定算法责任实体性,以算法透明、数据证据化、算法解释等具体手段,将算法生产者与使用者、算法结果及其社会影响纳入治理体系,相较于复杂的过程治理,面向算法结果的治理更为简单易行且高效,由此针对结果的治理成为主流治理思路,如欧盟算法问责机制、我国算法备案制度,均为面向算法产出与结果的治理方案。

本文基于数据主权视角探讨算法治理。从数据主权的视角来看,算法冲击国家数据主权安全,算法治理是保障国家数据主权安全的重要内容,是国家安全的重要内涵,算法治理亟待国家权力的介入。一方面是算法与国家安全的冲突构成了治理的现实背景,算法攻击主权国家的具体数据资源、物理个人、设施等要素,国家介入算法治理有着其明确的治理需求和法理基础;另一方面,算法所带来的风险冲击远超个人、组织范畴,面对大数据企业、平台等大型治理对象,单独的个人和组织难以应对和抗衡,国家作为权威机构与管理组织,有能力也有义务回应算法带来的风险冲击,保障本国公民权益、组织利益和国家安全。主权视角下,国家主导算法治理有着治理必要、治理正当性。

综上,在前文算法治理定义上,本文进一步明确数据主权视角下的算法治理为国家安全议题的下位类,其核心治理主体为主权国家,包括其权力机关、政府部门、专门机构,来自技术、产业的企业、平台、组织以及个人等多元主体为在主权国家领导下的治理参与主体;具体治理手段包括发布法律法规、监管算法主体、评估算法风险等,侧重过程治理;核心治理目标为规范算法技术发展与应用,推动数字经济健康发展与社会数字化转型,最终保障国家数据主权安全。

2.3 主权视角下算法治理挑战

泛在的算法为主权国家发展与治理赋能的同时,也为主权国家带来了更为复杂的冲击。数据主权下的算法治理挑战,本文认为主要有三个核心面向:一是数据主权与“算法权力”的博弈风险;二是平台国家化和国家平台化的冲击风险;三是现行治理方案时滞与缺失导致治理空白。

(1)治理主体上:数据主权与“算法权力”的博弈

传统法治的核心价值在于法规范的层级性和安定性[19]。数据时代的到来,打破了国家的物理地域性和法律规范的层级性。算法推动“去中心化”实现,使得数据资源、数据主体、数据客体可事实上实现跨疆域的“无限制”传播与发展,算法引发的治理问题超出单一国家权力范畴,从而弱化了单一主权国家法规的效力与权威性。同时,主权国家的法律法规不再是规范公民在数字网络上行为的唯一规范,而与其他算法技术标准、社会治理、产业政策、行业规范互相竞争,以“交互的规范”共同形塑算法社会,法律体系与技术规范两者间存在不可避免的碰撞与冲突,而国家法律法规的滞后性使得其在瞬息万变的算法治理问题前尚显“无力”,我国此前互联网企业与平台组织“野蛮生长”带来的数据泄露、劳动者权益受损、国家安全威胁等严峻问题,正是这一碰撞与冲突中国家数据主权“无力”的集中体现。

在数据主权亟待进一步强化、算法治理方案尚待进一步完善的同时,算法的广泛应用与强大赋能能力形成事实上的“算法权力”,进一步与国家主权展开博弈,引发主权视角下算法治理挑战。一方面,算法权力可被国家主体所控制,国家凭借其掌握的海量数据、庞大的行政、司法等资源,利用算法进行精准管理和提升社会治理效率,将算法嵌入公权力,使之成为支撑公共治理、服务的辅助工具。但在这一进程中,国家主体对算法这一新兴事务认识尚不全面,在积极引入算法进行辅助决策与管理的同时,算法的及时执行、自我实现特点使得其可以借助公权力体系野蛮生长,甚至以智能决策、自动化服务成为独立决策者“取代”公权力,算法歧视、公民监视、重要数据泄露等潜在危害在公权力复合下产生算法权力异化风险,而现有法律制度缺乏对算法权力规制的详尽方案,对算法权力异化风险的救济、应对机制也尚未完备,严重威胁国家数据主权安全。

另一方面,算法权力也可被非国家主体所掌握,特别是在算法赋能下,一批以平台为代表的超国家实体对数据和算法的控制力在某些领域甚至超过了部分主权国家。超国家实体依托领先的算法技术优势、广阔数据市场和海量用户,利用机器优势与架构优势占据海量数据资源、拦截主要数据红利,以技术方案有效规避国家法律体系规制,以用户“知情同意”形成算法收集和利用数据的合法化基础,也成为算法歧视、信息茧房、扰乱市场竞争、侵害弱势群体利益等算法损害的免责借口。同时,超国家实体基于算法技术所提供的数据产品、算法服务超越国家物理边界,在商业与经济活动中无可避免受到其他国家数据主权制度的限制,平台中存储和流转的海量个人数据、商业秘密数据、国家重要数据及其内含的情报信息成为外部敌对势力的关注重点,平台依赖的核心算法技术、关键基础设施、重要数据软硬件供应链也面临外部恶意势力的攻击与蓄意破坏,超国家实体成为主权国家间数据主权博弈与竞争的“桥头堡”,在国际外部环境与国家内部环境的双重复合下,由超国家实体带来的全球化风险极大提升,算法治理趋向复杂。

(2)治理对象上:平台国家化和国家平台化的冲击

网络空间与主权国家历史短期内获得三次重要变迁:第一次国家吸纳网络空间,第二次体现为网络空间国家化,第三次则是当下网络空间里的国家与多元主体的主导权竞争[20]。数字平台开始具有部分国家属性;国家机构为了适应网络发展,也出现了国家平台化的趋势。平台国家化现象冲击了传统宪法视角下依托固定领土的国家主权,主权的行使从上而下遭遇阻碍,数据信息所有者、使用者、存储者在地理位置上的分离以及所引发的跨境流动,导致主体识别和权力行使的困难[21]。

跨国平台的主权侵蚀和国内平台的数据掌控不断削弱着主权国家的权力地位。平台事实上在网络虚拟空间获得了与公权力相对应的包括准立法权、准执法权和准司法权在内的独立规制体系[22],事实上人们之所以遵守网络关键规则,并非源于社会制裁和国家制裁的压力,而是源于统治该空间的代码和架构[23]。这种以代码为核心的技术治理形成一种有别于国家的“主权”,主要通过验证、痕迹追踪、信息筛选、加密等手段来实现[24]。如何应对来自平台国家化和国家平台化的冲击,始终是治理的核心挑战。

同时,算法在具体应用与实施上,带来了各类型的算法风险,如算法操纵引发内容安全风险、算法滥用侵害用户合法权益、算法霸权破坏数字市场秩序、算法问责影响社会公共治理。伴随着算法泛在化的是算法风险的泛在化。算法挑战的冲击下,各主权国家积极采用手段对算法及其后果予以治理。但从当前治理实践来看,以已有的治理手段和方式尚难以应对算法治理需求,暴露了治理结构的僵化性、治理方法的滞后性、治理范围的狭隘性等不足。

(3)治理方案上:现行治理方案时滞与缺失的限制

算法治理是大数据与人工智能时代主权国家面临的全新治理议题与挑战。面向瞬息万变和快速更迭的大数据环境与算法技术,国家现行治理方案的时滞和缺失使得国家缺乏科学指导与实践支撑,限制了国家算法治理的开展与有效运行,加大了算法治理面临的挑战。

现行治理制度不健全。首先,现行的数据治理制度框架,以及全球治理制度框架,都难以直接套用或涵盖算法治理的现实问题。一方面,算法治理有其特殊性,使得其难以被归纳为特定数据与技术的下位类,国家围绕数据治理的制度框架以数据为核心对象,难以兼顾算法的技术与社会面向,呈现制度方案与技术规则的“无力”,难以提供合适的参考方案;另一方面,算法治理虽属于全球治理、国家治理的下位类,但现行国际治理方略主要围绕网络空间资源权属、数据资源跨境流动、软硬件基础设施产业链等问题开展,对于算法尚未有专门治理方案,国际算法治理领域也未形成统一标准与规范,为冲突和风险的产生带来隐患。其次,算法治理问题已难以完全以单一法律政策方案予以解决,跨层级、部门法律政策体系尚未完善。以我国为例,当前尚未有针对算法治理的顶层规划,在国家战略中算法治理侧重原则性指南与号召;也尚未有针对算法的专门法律,相关论述散见于《数据安全法》等关联法律中;涌现一批针对算法治理的行政规定与指导意见,快速响应了算法治理需求,但效力级别受到限制。算法治理亟待制定专门的制度框架与完善制度体系,对当前缺失或还不够成熟的关键制度与技术规则予以突破,如算法评估标准、算法审查流程规范、算法国际竞争指南与技术供应链规范,算法侵害救济策略等,在现行国家数据治理与全球治理框架基础上,进一步完善算法治理框架,丰富跨层级、跨部门治理体系。

现行治理机制不完善。传统治理机制难以应对算法治理问题,而针对算法治理的新兴机制尚未建立,治理机制断层下暴露算法治理真空。首先,算法作为底层生产力工具,与社会经济、文化、政治各领域深度关联,涉及网络与数字空间各细分领域,关联治理部门多元。但在当前治理实践中,算法治理与监管机构在设置和职责划分上缺乏统一性,专门性的算法治理总领部门与专门机构尚待明确(如专门针对算法合规性判断的权威、独立和专业的第三方审计机构),各细分领域与部门的治理机构也尚未明确,跨部门、跨区域协同治理机制亟待建设,以支撑强化国家针对复杂算法问题的治理能力。其次,算法关联社会、技术、人的多重因素,算法治理这一新兴问题具有治理的技术门槛,在数据主权视角下的算法治理需进一步地综合考虑国内外双重治理需求,因此,单一采用技术或法律政策方案都难以实现完备的算法治理,仅依赖政府单一主体也难以实现算法的有效治理。受限于传统治理思想,在以国家主体为核心的基础上,当前平台、数据企业、技术组织等技术类主体的治理效用尚未发挥,与算法治理问题紧密关联的行业组织、公民的治理意识尚未提升,与外部其他主权国家、国际组织的算法共商共建共享机制也尚未形成,多元主体共治格局尚未形成。

我国实现了互联网接入的充分供给,步入算法治理“2.0”时代[25],算法已构成了经济社会的底层架构,算法普遍存在,算法推荐服务滥用引发的信息茧房、饭圈乱象、大数据杀熟等社会问题引发了社会广泛关注;在治理上虽有长足发展,但也面临以上共性挑战与治理困境。主权视角下如何完备我国算法治理体系,应对算法风险,形成具有中国特色的算法治理进路急需回应。

3 主权视角下算法治理的国际进展

随着数字全球化进程的不断深入与全球数字资源争夺的持续白热化,算法治理已成为主权国家在数据主权时代下的重要议题。决策者对治理路径的选择将一定程度上影响数据发展走向,引导整体治理机制的形成[26]。立足不同国情与治理目标,针对算法带来的风险和问题,各国采取的算法治理举措存在差异,由此形成了不同的模式与进路。本文以美国、欧盟为主要参考对象,从算法治理关联法律政策入手,充分梳理当前国际算法治理进展与不同模式进路,为我国提供充分参考。总体上,美国从防范算法侵害入手,形成了政府和第三方的问责模式;欧盟从数据保护入手,逐渐与美国的问责模式汇流;我国从数据主权安全入手实施治理,但尚未形成有法理逻辑和明确操作路径的治理模式。

3.1 美国:以多方问责为核心,风险导向的主动模式

算法治理发端于美国[27]。美国具有算法技术与数字市场优势,较早意识到算法风险并开展算法治理,陆续发布专门性法案予以规制,且相关政策层次由行业不断提升至地区与国家,在全球算法治理实践中位于前端。从内容上看,在“网络自由”“技术中立”等原则指导下,美国形成了由政府或第三方主导的问责模式[28],以问责为核心手段,其问责的主体是政府或第三方,问责对象是有潜力让算法产生广泛且深刻影响的算法生产者与使用者,将算法带来的不良社会后果直接归责到算法生产者和使用者,问责内容包括算法内容和非算法流程。

2017年初,美国计算机协会下属的美国公共政策委员会发布《算法透明度和责任声明》(StatementonAlgorithmicTransparencyandAccountability)[29],提出七项促进算法透明度和可靠性的原则,要求“从一开始就防止偏见”,建立了算法治理的外部问责和控制模式;在行业声明的推动下,随后12月,纽约通过《政府部门自动决策系统法案》(AutoDecisionSystemTaskForceLaw)[30],要求成立由自动化决策系统专家和受到自动化决策系统影响的公民组织代表在内的专门性工作组,对市政机构运用此类算法的公平性、问责性和透明度进行监管,该法案成为全球首部针对人工智能监管的专门性制度,引入来自企业、个人的多元监督模式,正式开启美国算法治理外部问责与控制的实践模式。

国家层面上,2019年,《算法问责法案》(AlgorithmicAccountabilityActof2019)[31]通过并授权美国联邦贸易委员会要求和监督企业对其人工智能系统的准确性、公平性、偏见、歧视、隐私和安全性等问题进行自我审查,将年收入超过5000万美元或拥有超过100万用户数据的数据代理商和企业均纳入治理对象范畴;2021年,《算法正义与在线平台透明度法案》(AlgorithmicJusticeandOnlinePlatformTransparencyAct)[32]发布,建立了算法安全性和有效性标准,对算法歧视的判断标准进行了详细解释,关切在线平台规范算法过程从而保护个人信息,要求在线平台为非算法流程承担责任,包括算法运行的可靠性、个人数据的可携带性和将个人数据作为司法证据的可实现性,由此建立了问责模式下将个人数据证据化、将算法偏见归责化的逻辑闭环。

3.2 欧盟:以数据保护为基础,辅以问责的防御模式

欧盟具有数字经济与数据市场发展的悠久历史,但在当前数据主权竞争与博弈中逐渐呈现颓势。受人权保障思路与原则影响,欧盟较早关注到与个人数据密切相关的平台组织与算法风险,在其早期的数据治理制度中已全面关切算法治理的相关问题,展开了针对算法负面影响的专门治理实践。整体上,欧盟从早期侧重数据资源保护,从数据保护入手,以保护个体、组织不受算法侵害的防御性框架和法律制度为基础,逐渐转向辅以政府和第三方问责以治理算法的负面影响和可能危害的综合防御模式。

欧盟1995年颁布的《数据保护指令》(DataProtectionDirective)[33]建立了以数据保护为出发点的算法治理的逻辑起点;2000年颁布的《电子商务指令》(ElectronicCommerceDirective2000)[34]则规范了数字服务提供者的责任;2015年欧盟进一步出台的《数字单一市场战略》(ADigitalSingleMarketStrategyforEurope)[35]在理论上奠定了针对数字市场的监管框架,把算法产出(如搜索结果、广告链接等)透明度,数据流动的组织间关系、数据流动的意愿与约束等都纳入市场监管范围,为算法治理指出了方向;2016年《人工智能:未来决策制定的机遇与影响》(Artificialintelligence:OpportunitiesandImplicationsfortheFutureofDecisionMak-ing)[36],明确了对使用人工智能所制定出的决策采用问责的概念和机制,并同时在算法透明度、算法一致性、风险分配等具体政策方面作出了规定;2017年颁行的《机器人民事责任法案》(CivillawRulesonRobotics)[37]进一步将算法偏见带来的负面影响和严重后果明确归责于算法的生产者和使用者,并且在道德层面对算法生产和使用提出了要求。

而2018年发布的《通用数据保护条例》(GeneralDataProtectionRegulation,GDPR)[38]进一步对数据的处理和运用进行了严格的限制,明确禁止可能造成算法侵害的数据运用,如揭示种族或民族出身,揭示政治观点、宗教或哲学信仰,刻画自然人健康、性取向等,欧盟的算法治理由此具有了整体性的指导纲领。随后欧洲议会秘书处2019年发布的《算法问责和透明治理框架》(AGovernanceFrameworkforAlgorithmicAccountabilityandTransparency)[8]提出了负责任的研究与创新(RRI)概念,从道德、法律到实践,明确了算法治理的问责框架;2020年提案的《数字服务法案》(DigitalServicesAct)[39]和《数字市场法案》(DigitalMarketsAct)[40]强化了算法生产者和使用者的责任;2021年提案的《人工智能法案》(ArtificialIntelligenceAct)[41]则区分了规则算法(rule-based algorithms)和学习算法(learning algo-rithms),建立了基于算法风险的算法治理改进路径,再次强调算法生产者和使用者的责任,强调问责机制。

3.3 中国:以国家总体安全观为原则的系统性尝试

我国是数字技术与数字经济后发国家,在拥有海量数据资源与广阔数据市场的同时,面临严峻的数据主权内外部风险。当前我国在总体安全观指引下,已开始了围绕国家数据安全与总体安全保障的系统性尝试,并对已有专门法律尝试展开算法治理。总体上,我国算法治理处于起步与尝试阶段,相较于美国、欧盟,我国尚未形成体系化、系统化的治理方案。

党中央印发的《法治社会建设实施纲要(2020—2025年)》[42]提出,制定完善对算法推荐、深度伪造等新技术应用的规范管理办法,《中华人民共和国网络安全法》[43]及2021年9月实施的《中华人民共和国数据安全法》[12]虽并未专门论及和针对算法治理问题,但从整体战略蓝图明确我国网络空间以安全为依归的发展与建设原则,规划总体国家安全观下数据安全治理体系,指明了我国算法治理的基本方向。2017年12月,贵阳市人民政府新闻办公室正式发布《贵阳区块链发展和应用》[44]白皮书,提出“主权区块链”与“秩序互联网”等理论创新,要求在国家主权范畴下,在法律与监管下,建立共识算法和规则体系[45];随后2019年《中华人民共和国电子商务法》[46]论及电子商务算法结果安全的治理问题,对如支付指令错误等问题予以规制,同年我国《儿童个人信息网络保护规定》[47]开始关切儿童数据服务相关运营商的责任约定;2021年5月8日,国务院新闻办公室举行2021年网络“清朗”系列专项行动新闻发布会,专项行动的八个重点任务之一即为“清朗·算法滥用治理”专项行动,同年8月,我国《个人信息保护法》[48]出台,从国家立法高度确立了自动化决策算法的规制基础;2022年1月12日,国务院印发《“十四五”数字经济发展规划》[49],提出优化升级数字基础设施,推进“云网协同”和“算网融合”发展,加快构建算力、算法、数据、应用资源协同的全国一体化大数据中心体系;2023年我国《网络信息内容生态治理规定》[50]第十二条明确规定“网络信息内容服务平台采用个性化算法推荐技术推送信息的,应当设置符合本规定第十条、第十一条要求的推荐模型,建立健全人工干预和用户自主选择机制”,算法推荐技术成为我国网络内容治理的重要内容。我国对算法治理的真正涉及是在2021年11月起实施的《中华人民共和国个人信息保护法》,确立了我国算法自动化决策治理的基本框架,为自动化决策嵌入平台经济、数字政府运行划定了合法边界[51]。

2022年3月1日,由网信办、工信部、公安部、国家市场监督管理总局联名发布的我国首部专门以“算法”为名的法律文件——《互联网信息服务算法推荐管理规定》[13]正式实施,规定在总体国家安全观指引下,明确了信息服务规范、用户权益保护、监督管理责任和法律责任,将监管责任主体明确为四部委(网信办、工信部、公安部、市场监管总局),并将相关违规的法律责任监管纳入国家相关部门管理之中。从此我国也有了针对算法黑箱、算法歧视、信息茧房、舆论操控、不正当竞争等算法侵害的规范。

在专门性法规出台的同时,我国围绕算法治理的未来规划也不断完善,指导未来我国算法治理方向。2021年9月17日,国家互联网信息办公室、中央宣传部等九部门联合发布的《关于加强互联网信息服务算法综合治理的指导意见》[14]坚持正确导向、依法治理、风险防控、权益保障、技术创新等五项基本原则,提出要“利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局”的主要目标。

综合此前颁布的《网络安全法》《数据安全法》《个人信息保护法》《互联网信息服务管理办法》等多部法律法规, 立法与监管行动的统筹安排,以及对算法透明度、算法问责、算法可解释等关键问题的关注,我国已经建立较为全面的涵盖网络、数据及算法的中国治理体系。算法安全尤其是信息内容安全是中国算法治理的核心价值观之一,我国算法治理体系主要诉求依然围绕“发展”与“安全”,强调发展技术与数字经济、维护数据与算法安全。在总体国家安全观指引下,我国算法治理正探索数据主权下的中国特色算法治理路径,并正在从软法引领进入硬法规制阶段。

4 主权视角下我国算法治理推进路径思考

我国作为发展中国家,在全球网络空间与数据主权博弈中并不具备先发优势。但同时,我国作为互联网建设与应用大国,数字经济迅猛发展,具有在人工智能、IPv6等新一代大数据技术领域的领先优势,结合我国广阔的数据市场、众多的数据企业和海量的数据资源,我国将在新一轮全球数字化竞争与数据主权博弈中发挥重要影响。当前我国已明确规划在新一轮国际网络空间和科学技术革命中的战略方向,以《新一代人工智能发展规划》等法规政策为核心的战略性部署,已经明确我国将在人工智能等新兴领域中有着长足发展,而与这类核心技术、新兴领域密切关联的算法治理,将是我们在夯实自身发展“硬实力”的同时,不可绕行的核心问题。当前,我国算法治理尚处于起步与尝试阶段,参考国际算法治理进展与模式,对于算法带来的治理挑战和治理困境,我国需在战略导向与具体国情指引下,从治理原则、治理主体、治理对象、治理结构予以进一步规范。

4.1 治理原则:均衡发展与安全诉求,“以人为本”框定算法红线

总体国家安全观下,我国算法治理需兼顾数字经济发展、算法技术提升和国家数据主权安全保障,强化自身以算法为核心的数字能力,坚持“底线思维”、夯实算法安全发展底线,坚持“以人为本”规范算法应用行动原则。

在数据主权博弈时代,主权国家表现掌控数字权力的意愿,积极出台系列法案抢占数据资源、宣示数据主权。但在充分保障数据资源占有的基础上,以算法为核心的数字能力才是将国家数字权力意愿转化为实际治理效率的基础,如何在新的数字革命中构建充分且有力的国家数字能力,才是应对数字时代国家主权变迁、保障数据主权安全的最核心要素。我国作为互联网建设与应用大国,数字经济迅猛发展,仅算法推荐而言,已关涉我国200余新闻客户端、400余家电商平台以及用户规模高达7.66亿的搜索引擎。我国在数字经济与互联网市场充分发展的同时,始终需要面临与我国互联网后发劣势的根本矛盾。基于此,主权视角下,我国算法治理需以国家利益与安全为导向,夯实安全发展底线,进一步规范算法至善,促进算法经济的高质量发展、算法治理能力的全面提升和国家数据与算法安全的系统保障,“安全”与“发展”协同是我国开展算法治理的基本原则。

一方面,在日益复杂的国际算法竞争环境与博弈态势下,我国需进一步加快提高自主技术创新能力,特别是在人工智能等关键领域的核心技术研发,助推数字经济与平台主体发展,提升国家数字能力,加强国家在国际算法话语体系中的地位。另一方面,积极应对算法风险与跨国争端,积极借鉴美国、欧盟等优势国家在算法评估、备案、审计、监测等方面的治理方案与技术体系,加快完善我国算法风险体系建设,促进数据与技术的有序跨境传播,在安全保障与算法完善的均衡下提升国家算法风险应对能力。

同时,对于主权下纷繁复杂的如算法歧视、“信息茧房”等风险,我国需明确以人为本的治理原则,以人为本作为红线以指导研判算法威胁与风险,关切群众需求、组织利益与国家安全,以此作为参照系来制定我国的算法备案以及后续评估的制度,重点关切我国互联网劳工权益保障,算法智能化下的信息孤岛、信息鸿沟以及特殊群体的服务与兼顾问题,以以人为本框定算法应用与发展红线,推动相关主体和治理对象实现算法向善。

4.2 治理主体:算法“治理侧”改革,多元共治应对算法风险

数据主权下,算法风险及其治理环境更为复杂,关联主体与问题更为多元,难以仅依靠单一主体与部门解决。我国亟待对算法“治理侧”予以改革,参考欧盟、美国充分引入企业、行业组织展开“自下而上”治理的经验,引入“协同治理”至当前主要依赖于国家权力机关的治理模式中,使我国算法治理的利益相关者和参与者共同介入算法治理活动,提升算法治理效率,优化算法治理机制。

一方面,重视平台及算法行业的作用发挥,实现行业“泛”自律与政府“强”监管的融合,以公私合作的方式提高算法治理科学性。我国需进一步纳入平台、大数据企业、算法开源社区等作为算法治理的重要主体,尊重技术界主体在算法形成和发展过程中的巨大作用,充分让技术界、产业界力量参与到算法治理当中,协助搭建对源代码、开源软件以及开源社区的监管制度,并发挥网络自治和社群力量,鼓励法律部门与技术部门共同制定算法合规风险点,优化自身流程以确保算法在运行过程当中的可管可控,提升算法监督、审查的专业性。同时,推进行业服务标准建设和行业自律,为鼓励平台组织、数据公司、算法服务行业形成行业自律,建设如国家算法安全委员会等中间组织,进行审计、监管和许可,建立健全行业标准、行业准则和自律管理制度,督促指导算法推荐服务提供者制定完善的服务规范、依法提供服务并接受社会监督。

另一方面,算法主体、服务、产品往往具有跨国家、跨区域、跨领域等特性,在算法治理的审核、监管过程中亦可能同时牵涉多个监管部门或多个地区相关部门,由此需要我国进一步完善算法治理主体的“横”“纵”联动。对内,加强政府内部联动,会同网信部门、电信、公安、市场监管及各行业领域监管部门共同展开算法监督、问责工作,加强与各层级管理部门协作与联动,以出台专门性法律政策的方式纳入公民、专业组织等关联个体共同参与算法治理,提供明确的反馈与监督渠道,形成有法可依、多元协同、多方参与的治理机制;对外,加强国际竞争与协作,加强地区性、领域性国际合作,积极参与国际算法领域标准制定与规则构建,参与国际IPv6等新一代算法技术开发,从国家权力单向行使走向多元主体共治,建设安全与信任的数字国家[52]。

4.3 治理对象:算法“供给侧”规范,健全主体与技术治理方案

当前,美国、欧盟的国际算法治理进展与共同思路启示我国,算法治理“供给侧”的核心对象是算法的生产者和使用者,同时,对于算法本身的规范与监管也具有重要意义。对于算法“供给侧”需从算法生产、使用主体与算法技术自身“双管齐下”,一方面,进一步规范我国现有算法主体问责模式,明确算法危害的主体责任归属与自评估机制,将法律规则融入主体算法规则、代码架构和内部要求中,实现治理对象的评估自治与风险脱敏;另一方面,进一步加强算法技术分级分类治理体系,以“场景化”治理方案应对算法风险。

从“供给侧”主体视角上,我国需从源头出发,围绕算法服务、产品和技术的争端属性优化现有算法主体监管法律政策与问责模式,并重点展开供给侧的核心主体——平台与数据企业治理。平台及相关企业是算法的主要生产者与使用者,在数字经济的助推下成为算法产生社会影响的重要中介,我国需完善和普及问责制度,以问责模式直接将责任主体锁定至相关算法平台及企业,敦促平台组织约束代码精英在代码生产过程、算法产品设计、算法服务提供中践行总体国家安全观与中国特色社会主义核心价值观,综合利用法律规范、社会规范、市场规则、技术架构等规制手段,将数据安全、数据主权、国家安全等法律规则融入算法规则、代码架构中,实现科学有效的算法法治。同时,夯实主体问责制度的匹配算法自我评估机制,以法律、制度形式明确算法评估及治理的关键要求,指导平台等“供给侧”主体内化为内部的评估机制,将风险预防的注意力与成本前置,在算法研发时就需要进行评估,衡量风险。此外,在数据主权视角下,数据自由流动的程度与算法权力的威力成正比,对于在我国市场提供服务与产品的外国平台及数据企业,我国亟待进一步加强数据跨境流动管控及数据资源的管控和数据资源的域外控制能力,从而消弭掌握算法权力的外国公司和外国政府的威胁力[53]。

从“供给侧”算法技术视角,加快完善我国算法分级分类治理体系,推动“场景化”治理方案出台。算法作为工具,对其具体应用的分级分类可能更为重要和突出,算法的不同应用目的、应用场景,对相同的数据资源都可能产生截然相反的正负面作用或不同程度的作用效果,由此带来的国家秩序、社会公平、企业利益、个人权利产生不同程度的影响。主权视角下,需进一步完善我国算法分级分类治理体系,准确施力,结合算法应用与实施的具体场景,予以风险研判与治理。

首先,完善现有我国《关于加强互联网信息服务算法综合治理的指导意见》下的算法透明和算法备案制度,进一步明确算法信息的传播和备案对监管而言是否有效,以及完善算法备案流程与确需公开的信息,同时对算法备案及问责制度予以细化,并不是平台所有的算法都要进行备案,而是具有高风险、普遍影响社会公众的算法才需要备案,推动现有分级分类管理方案的完善与提升。同时,以海量数据为基础的人工智能算法与网约车、网络购物、灵活用工等应用场景深度融合,“大数据杀熟”等算法技术负面效应已经冲击市场竞争制度和社会管理秩序,依据算法应用所涉及的内容类别、舆论属性以及用户规模等因素,以及算法应用对网络安全可能产生的风险大小,对社会产生的损害范围及程度,对其进行分级分类的治理是当前算法治理的主流观点和基本理路[54]。笔者建议结合我国当前已有的算法治理制度,综合考虑算法的应用场景、处理数据的风险程度、算法使用的正向效益和可能的风险与危害,实现针对算法的分级分类,落实多层次、场景化、精细化的分级分类的算法治理工作,更有利于实现算法价值及保护公共利益之间的平衡。

4.4 治理逻辑:完备算法全周期治理,源头抓手作为核心

主权博弈视角下,算法升级换代与变化速度加快,技术手段与算法形态不断更替,算法关联社会多元主体、众多领域,综合算法技术与社会影响的双重考量,我国算法治理应从社会整体而非局部的角度来解决问题,需进一步从算法全生命周期展开,并侧重对风险源头的识别和应对。

算法治理关涉的从研发到投入实施的过程中具有不断迭代的开发周期,算法在投入实施之后也将不断被更新与修复,由此带来的算法监管与追责回溯变得更为艰难,各合规主体难以识别风险,算法监管由此陷入真空。鉴于此,一方面,探索完备的全周期算法治理体系,从我国当前侧重事后追责与惩罚机制变为事前、事中、事后的全流程监管,以算法技术标准和应用规则方式,形成可广泛认可和实施的全生命周期治理方案,包括在事前嵌入理论和道德要求,事中评估和认证机制的有效落地,事后的产品追溯和责任制度,探索科学灵活的标准制定程序和多元智能参与机制,实现算法技术标准化和算法治理法治化的衔接融合。

另一方面,在多种治理路径选择中,我国可参考欧盟、美国现行方案,以结果为导向完善我国算法治理体系建设。本文综合已有研究和国内外进展,立足信息科学的角度来思考,指出对于算法这一动态变化的治理对象来说,对其空谈风险分类是不理性的,从各种风险现象总结并剖析风险背后的风险源,从源头把握进行治理,才能真正有效应对算法“黑箱”,对风险结果可控。基于此,在全流程治理框架下,我国应进一步加强风险源头治理,由监管方基于治理经验研判未来可能出现的风险源与风险主体,调动政府、企业、行业组织、技术组织等多元主体共建完备的算法风险预警方案与体系,有的放矢。

5 结语

主权视角下,我国以数字经济为主要经济业态和行业的发展正站在新周期起点之上,数字经济由高速增长转向高质量发展阶段,我国在国际数据主权与网络空间方面的博弈也步入新常态阶段,算法治理已成为促进数字经济高质量发展、提升我国数据治理能力、保障我国数据主权安全的重中之重。

在全面梳理算法及其治理兴起的历史进程基础上,本文充分调研主权视角下算法治理的国际背景,识别美国以多方问责为核心、风险应对的主动模式,欧盟以数据保护为基础、辅以问责的防御模式,以及我国以总体国家安全观为原则的系统性尝试。主权视角下,国家主权面临了来自算法的解构,面临着“数据主权”与“算法权力”的博弈,平台国家化和国家平台化的冲击和挑战,并陷入治理结构的僵化性、治理方法的滞后性、治理范围的狭隘性的治理困境。基于此,研究结合我国算法治理发展现状,提出在治理原则、治理主体、治理对象、治理结构和治理方法上的全面对策,包括治理原则上注重均衡发展与安全,以人为本作为算法治理根本红线;治理主体上注重“治理侧”改革,多元共治应对算法风险;治理对象上注重“供给侧”改革,健全平台问责与自评估;治理结构上,以生命周期为线索,把握风险源头;治理方法上,进一步完善分级分类体系,并与场景治理结合。

总体上,主权视角下,我国算法治理需要尽快搭建兼顾安全与发展、以人为本且覆盖算法应用全周期、全场景、全流程的分类协同治理机制。需要明确的是,在本文给定算法偏见人因化或组织化,以及给定算法技术处于不断迭代且动态演化的场景下,实施算法治理的行动选择其实不多,本文的探索尚未达到体系化程度。未来,主权视角下算法治理体系需进一步从秩序整合视角予以完善,以保护个人免受技术监管和算法治理中不当行为的影响,保障国家数据与主权安全,并稳健地促成国家与社会关系的变迁[55]。